Poważny atak na klientów BZ WBK. Bank ułatwił przestępcom zadanie

Aż kilkaset tysięcy złotych mogło zostać ukradzione z kont klientów BZ WBK przez przestępców, którzy w zeszłym tygodniu przeprowadzili atak phishingowy, informuje serwis niebezpiecznik.pl.

Choć sposób wyłudzenia od klientów poufnych informacji umożliwiających włamania do ich kont był typowy dla tego typu ataku, bank bardzo ułatwił im zadanie, usunąwszy zabezpieczenie przy przelewach przez serwis płatności internetowych Przelew24.

- Przestępcy rzeczywiście wykorzystali brak konieczności potwierdzania SMS-em lub tokenem Przelewu24 - przyznaje Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i i internetowej w Banku Zachodnim WBK w oświadczeniu przesłanym money.pl.

Jak tłumaczy przedstawicielka banku, potwierdzenia nie wymagały płatności Przelewem24 w większości sklepów i serwisów aukcyjnych w przypadku, gdy dana transakcja nie przekraczała dziennego limitu transakcji niewymagających autoryzacji smsKodem/tokenem. Rozwiązanie miało ułatwić klientom płatności Przelewem24, zwłaszcza w środowisku mobilnym.

- Ułatwienia dotyczyły zweryfikowanych sklepów oraz serwisów aukcyjnych, gdzie płatności są dostarczane przez współpracujących z bankiem integratorów płatności lub sklepy internetowe - wyjaśnia Prus-Malinowska.

Jak przekonuje, "bank przykłada dużą wagę do przestrzegania klientów przed podawaniem danych do logowania, systematycznie prowadzi akcje informacyjne". - Pomimo tego rzeczywiście odnotowaliśmy incydenty, w których klienci nieostrożnie podali swoje dane na fałszywych stronach. Każdą taką sytuację bank rozpatruje w trybie indywidualnej reklamacji - mówi Prus-Malinowska.

Wkrótce po tym, gdy bank zorientował się, że doszło do ataku na dużą skalę, dodatkowe zabezpieczenie przelewów internetowych zostało przywrócone. BZ WBK odmawia odpowiedzi na pytanie o to, ilu klientów padło ofiarą ataku i jaką sumę skradziono.